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Проведен анализ высокотехнологических способов совершения преступлений в сфере обращения компьютерной информации, 
практически осуществленных с удаленно расположенных ЭВМ. Выявлены виртуальные следы, оставляемые при реализации та- 
ких способов. Разработаны конкретные предложения по расследованию и предотвращению данного вида компьютерного про- 
никновения. 


На протяжении последних лет прослеживается 
все возрастающая тенденция развития способов 
неправомерного, с точки зрения законодательства 
РФ, и административно несанкционированного 
доступа к компьютерной информации с использо- 
ванием сетевых технологий, основанных на уда- 
ленном доступе потребителей к информационным 
базам данных. Одним из основных факторов, спо- 
собствующих этому процессу, является наличие в 
сфере обращения компьютерной информации но- 
вых программно-аппаратных средств, обладающих 
широкими высокотехнологическими возможно- 
стями, освоение и применение которых позволяет 
находить нестандартные решения для осуществле- 
ния неправомерного доступа [ 1 ] . В таких ситуациях 
неправомерный доступ бывает достаточно специ- 
фичен, а виртуальные следы для правоохранитель- 
ных органов остаются скрытыми. Данные обстоя- 
тельства серьезным образом сказываются на ла- 
тентности преступлений в сфере компьютерной 
информации, которая достигает 90 %. Подчер- 
кнем, что в современной криминалистике следы 
осуществления такого вида преступлений практи- 
чески не изучены [2]. Таким образом, актуальной 
задачей является изучение закономерностей про- 
явления механизма «практики» подготовки, совер- 
шения и сокрытия преступлений в сфере компью- 
терной информации. 

Наиболее профессионально опытные наруши- 
тели действуют таким образом, чтобы следы ком- 
пьютерного проникновения были максимально 
скрыты или достоверно не указывали на лицо, их 
оставившее [3]. Более того, в этих случаях зачастую 
используют такие способы проникновения, чтобы 
логические пути расследования в еще большей сте- 
пени осложнили работу правоохранительных орга- 
нов. Проблема объясняется недостаточным уров- 
нем специальных знаний о компьютерной технике 
и информационных технологиях у расследующих 
эти преступления сотрудников правоохранитель- 
ных органов. В таких условиях значительную по- 
мощь при проведении следствия должны оказать 
четкие представления о том, какие следы остаются 
при высокотехнологичных способах неправомер- 
ного доступа в сфере компьютерной информации. 
В этой предметной области особенно сложными и 


важными нарушениями являются основанные на 
высокотехнологичных способах несанкциониро- 
ванного доступа к компьютерной информации и 
совершенные путем использования информацион- 
ной сети с удаленно расположенных ЭВМ. 

Следует отметить, что для неправомерного уда- 
ленного доступа характерно нахождение следов в 
разных местах одновременно и на большом рас- 
стоянии друг от друга. Так, они могут быть оставле- 
ны не только на рабочем месте, но и в месте хране- 
ния или резервирования информации [4]. Следы 
также могут быть обнаружены на местах подготов- 
ки к доступу (например, там, где разрабатывались 
или тестировались программы для неправомерного 
доступа), использования инструментов, устройств 
и средств, предназначенных для операций непра- 
вомерного доступа, а также в месте использования 
информации [5]. Указанные обстоятельства требу- 
ют проверки всех предполагаемых мест, где могут 
находиться виртуальные следы. Важно отметить, 
что только полученные и оформленные с соблюде- 
нием уголовно-процессуального законодательства 
следы могут быть приобщены к уголовному делу и 
станут рассматриваться в качестве доказательств. 

Рассмотрим некоторые основные особенности 
высокотехнологичных способов неправомерного 
доступа к компьютерной информации. 

1. Использование чужих регистрационных адресов 

в локальной сети, имеющей выход в Интернет 

Компьютеры, подключенные к локальной сети 
с выходом в Интернет, как правило, имеют два ад- 
реса: логический адрес сетевого уровня (ІР-адрес) 
и физический адрес сетевой интерфейсной карты 
(МАС-адрес) [6]. При отправке пакетов за пределы 
локальной сети эти адреса будут зафиксированы, 
следовательно, можно будет найти ЭВМ, с которой 
был совершен неправомерный доступ, что в даль- 
нейшем позволит отыскать соответствующие тра- 
диционные и виртуальные следы. Однако лица, 
обладающие специальными знаниями, могут само- 
стоятельно прописать чужой ІР-адрес, чтобы запу- 
тать следствие. В случае, когда имеются основания 
полагать, что произошла именно такая ситуация, 
следует обратить внимание на МАС-адрес сетевой 
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карты. Как правило, все сетевые карты имеют свой 
уникальный номер, который сложно изменить или 
уничтожить. Данный номер может быть также за- 
фиксирован при сетевом соединении. Таким обра- 
зом, доказательством того, что нарушитель исполь- 
зовал чужой ІР-адрес, будет служить несоответ- 
ствие МАС-адреса сетевой карты компьютера тому 
МАС-адресу, который был указан при подключе- 
нии. Для расследования подобных нарушений не- 
гативную роль оказывает то обстоятельство, что в 
продаже имеются сетевые карты, позволяющие из- 
менять МАС-адреса программным способом. В та- 
ком случае можно без особого труда использовать 
не только чужой ІР-адрес, но и МАС-адрес. Если 
будет установлено, что во время неправомерного 
доступа за компьютером, на который указывают 
прописанные преступником ІР и МАС-адреса, ра- 
ботал конкретный человек, то подозрение падет 
именно на него. Более того, вполне возможна си- 
туация, когда на данный компьютер затем будет 
подброшена похищенная информация. Подобные 
действия являются крайне опасными, так как при 
недостаточно умелой следственной работе может 
быть привлечен невиновный человек. 

Чаще всего, на сервере провайдера могут хра- 
ниться учетные данные его клиентов. Большинство 
этих данных используются правоохранительными 
органами в качестве доказательств совершения пре- 
ступления с конкретного компьютера. В то же время 
анализ показывает, что контроля, указывающего на 
того, кто именно работал на компьютере в период 
совершения с него неправомерного доступа, прак- 
тически не бывает [7]. Например, рассмотрим си- 
туацию, когда доступ совершался с домашнего ком- 
пьютера. Лицо, которому он принадлежит, может в 
своих показаниях заявить, что в период совершения 
доступа у него дома находились посторонние люди. 
Если в подобной ситуации подозреваемый догово- 
рится с кем-либо из них о том, чтобы они подтвер- 
дили данные обстоятельства, установить, кто совер- 
шил доступ, будет крайне затруднительно. 

2. Использование беспроводного (ѴѴі-Гі) соединения 

Для несанкционированного доступа может 
быть использован ноутбук, сотовый телефон или 
иное портативное устройство вблизи пункта, пре- 
доставляющего доступ в Интернет по беспровод- 
ной технологии, например, в «Интернет-кафе». В 
такой ситуации на сервере провайдера останутся 
следующие следы: 

• учетные данные нарушителя, например, логин 
и пароль; 

• настройки, которыми пользовался нарушитель, 
в частности его ІР-адрес, выделенный для опре- 
деленного сеанса связи; 

• информация о пакетах, которые были отпра- 
влены либо получены на адрес клиента, в част- 
ности время отправки/приема, размер, тип, ІР- 
адрес получателя или отправителя и т. д.; 


• в некоторых случаях данные о конфигурации 

компьютера злоумышленника. 

В то же время следствие, даже располагая этими 
данными, не сможет выделить конкретное лицо и 
устройство, с которого был осуществлен неправо- 
мерный доступ. Под подозрением может оказаться 
неопределенный круг лиц, которыми мог быть уло- 
влен сигнал на тот момент, когда был совершен до- 
ступ. Например, это могут быть лица с ноутбуками, 
находящиеся в кафе или в припаркованных авто- 
мобилях, жители близлежащих домов, использую- 
щие специальные улавливающие слабый сигнал 
устройства. Оперативные мероприятия по обыску 
перечисленных лиц с целью обнаружения и осмо- 
тра их компьютеров представляются маловероят- 
ными с точки зрения их эффективности. 

3. Использование чужого телефонного номера 

Органы следствия при поиске, как правило, ис- 
ходят из данных, полученных от фирмы провайде- 
ра, в первую очередь касающихся телефонного но- 
мера, с которого осуществлялся неправомерный 
доступ при использовании модемного соединения 
[8]. Анализ ряда уголовных дел показал, что доказы- 
вание совершения проникновения строится на базе 
главного доказательства - телефонного номера, с 
которого происходило соединение с сервером про- 
вайдера [9]. Представляется, что подобное обстоя- 
тельство нельзя рассматривать в качестве универ- 
сального доказательства. Это подтверждается тем, 
что практически к телефонным кабелям имеется 
открытый доступ, распространены технические 
сбои на автоматической телефонной станции 
(АТС), а также возможно соучастие работников 
АТС в совершении неправомерного доступа. Все 
это создает благоприятную ситуацию для того, что- 
бы злоумышленники воспользовались описанными 
вариантами. Так, с помощью ноутбука можно под- 
соединиться к линии телефонной сети в много- 
квартирном доме и тем самым осуществить выход в 
сеть Интернет с чужого телефонного номера, в том 
числе воспользовавшись картой доступа в Интер- 
нет. Доказать факт подключения нарушителя к чу- 
жому телефонному кабелю будет крайне сложно. 
Отметим, что случаев использования чужих теле- 
фонных линий связи для осуществления междуго- 
родних звонков современная российская практика 
знает достаточно. Данное обстоятельство свиде- 
тельствует о потенциально возможном росте совер- 
шения действий, связанных с неправомерным до- 
ступом по подобной схеме. Для предотвращения 
следственной ошибки и обвинения невиновного 
необходимо воспользоваться помощью специали- 
стов или экспертов, задачей которых являлось бы 
установление совершения проникновения с иного 
компьютера [10]. Выявление данного обстоятель- 
ства возможно путем исследования программно- 
аппаратного обеспечения этого компьютера и срав- 
нения имеющихся в нем данных с информацией, 
предоставленной провайдером. 
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4. Использование чужого компьютера в качестве 

средства неправомерного доступа путем 

кратковременного удаленного соединения с ним 

Для неправомерного доступа может быть ис- 
пользовано кратковременное удаленное соедине- 
ние с чужим компьютером в случае, когда подклю- 
чение к линии телефонной связи потерпевшего от- 
сутствует. Например, распространенным является 
подключение к чужому компьютеру дистанцион- 
ным образом с помощью программы вирусного ти- 
па «троянский конь». Установить такую программу 
можно с помощью электронной почты, \Ѵі-Рі сое- 
динения или путем неправомерного подключения, 
т. к. защита компьютеров у большинства пользова- 
телей крайне низкая. В такой ситуации на заражен- 
ном компьютере останется вся информация о не- 
правомерном подключении, и подозрение ляжет 
на владельца этого компьютера. 

При расследовании такого способа совершения 
доступа можно предложить следующие рекоменда- 
ции по обнаружению следов. В случае самоликви- 
дации вредоносной программы можно проанали- 
зировать системный реестр на наличие характер- 
ных команд и их реквизитов и обнаружить данные, 
позволяющие предположить, что на компьютере 
был подобный вирус. Для доказательства наличия 
вируса можно попытаться использовать также 
стандартные программы по восстановлению уда- 
ленных данных. Такая операция не будет успешна, 
если в ячейки памяти, зарезервированные под ви- 
рус, затем записывалась другая информация. Кро- 
ме того, во многих случаях доступ в Интернет осу- 
ществляется посредством использования прокси- 
сервера, который фиксирует всю информацию, ка- 
сающуюся сетевых соединений [11]. По данным 
прокси-сервера можно установить факт соедине- 
ния компьютера, с которого предположительно со- 
вершалось преступление, с компьютером злоумы- 
шленника. 

5. Использование услуг провайдера, 

не фиксирующего данные о своих пользователях 

В настоящее время появляется все большее ко- 
личество провайдеров, которые не фиксируют у се- 
бя информацию о пользователях. Это делается с 
целью повышения анонимности, чтобы не было 
известно, какие сайты посещают клиенты провай- 
дера. При использовании таких услуг на сервере 
провайдера не останется следов доступа, что значи- 
тельно затруднит расследование. Кроме этого, для 
неправомерного доступа могут быть использованы 
и так называемые анонимные прокси-сервера, до- 
ступные в сети Интернет. 

6. Возможные пути предотвращения попыток 

неправомерного доступа 

Необходимость совершенствования комплекса 
мер по защите компьютерных систем и информа- 
ционных баз данных, в частности, автоматизиро- 


ванных средств контроля использования специаль- 
ной информации в различных областях деятельно- 
сти человека, существует давно. Потребность в за- 
щите информации от неправомерного доступа вы- 
звана компьютеризацией многих экономических и 
политических отраслей функционирования госу- 
дарственных структур как средства повышения эф- 
фективности обработки информации для ускоре- 
ния принятия решений и управления. 

Компьютеризация резко увеличила объем пото- 
ка информации и емкость баз данных. Более того, 
непрерывно возрастает уровень профессиональной 
подготовки специалистов высокой квалификации 
в области компьютерных средств, темп и интен- 
сивность использования этих средств. Это приво- 
дит к, вытекающей отсюда, логической необходи- 
мости осуществления разработки, создания новых 
и совершенствования существующих компьютер- 
ных систем и средств, причем не только для защи- 
ты, но и для оценки надежности защиты и сохране- 
ния компьютерной информации от несанкциони- 
рованного к ней доступа. Существует также ряд 
факторов экономического, политического, со- 
циального, психофизиологического, медицинско- 
го, геополитического и т. п. характера (их анализ 
выходит за рамки предмета исследования), кото- 
рые приводят к росту попыток несанкционирован- 
ного доступа к компьютерной информации, вклю- 
чая возросшую практику проникновения через се- 
тевые структуры в информационные базы данных с 
удаленных ЭВМ. Такая практика несанкциониро- 
ванного проникновения в базы данных с удален- 
ных ЭВМ основана на использовании развиваю- 
щихся сетевых технологий и усовершенствования 
средств приема и передачи компьютерной инфор- 
мации. 

Наиболее простой и достаточно эффективный 
путь - введение некоторого порога защиты инфор- 
мации и сохранения неприкосновенности баз дан- 
ных состоит в априорном принятии мер, заклю- 
чающихся, например, в установке в компьютер из- 
вестных программных средств, предназначенных 
для ограничения свободного доступа, предотвра- 
щения и предупреждения попыток неправомерно- 
го использования данного компьютера и, храня- 
щейся в нем, компьютерной информации [6]. Та- 
кие средства обеспечивают поддержание мини- 
мального (нижнего) уровня мер защиты информа- 
ции в компьютерных средствах коллективного 
пользования. Установленная в них, система произ- 
водит защиту информации от несанкционирован- 
ного доступа таким образом, чтобы право и воз- 
можность использования, хранящихся в компью- 
терах, данных, производства с ними операций по 
их модификации получал только пользователь ин- 
дивидуально распознаваемый данной системой. 

Подобный вариант обеспечения защиты ин- 
формации от неправомерного к ней доступа может 
быть выполнен путем использования стандартных 
программных средств, предусмотренных библиоте- 


214 




Управление, вычислительная техника и информатика 


кой пакета Місгозой Ассеж. Применение МісгоьоП 
Ассе$8 не позволяет нескольким пользователям од- 
новременно корректировать или изменять одни и 
те же информационные данные, т. е. вводит ранжи- 
рование на доступ к информации по приоритетам, 
которые установлены администратором системы. 
При этом МІСГ 080 Й Ассеж автоматически обеспе- 
чивает защиту данных от одновременного их изме- 
нения разными пользователями (разнесение по 
времени и приоритетам доступа к данным). 

В МІСГ 080 Й Ассе88 предусмотрены надежные, с 
точки зрения удовлетворения требований нижнего 
уровня защиты интересов широкого круга пользо- 
вателей, меры защиты целостности данных разде- 
лением доступа к информации по рангам и прио- 
ритетам. Причем, если пользователям с наивы- 
сшим приоритетом предоставляется право доступа 
к основным информационным и программным 
средствам, то другим, не включенных в список ад- 
министратором, разрешена работа только с дубли- 
катами выделенных фрагментов информации или 
фреймов базы данных. Это дает возможность соз- 
дать дополнительный порог доступа, помимо пре- 
дусмотренных в самом пакете Місгозой Ассе88, к 
логическим правилам защиты информации и обес- 
печения повышения надежности защиты баз дан- 
ных от попыток неправомерного доступа. 

Конечно, профессионально освоивший про- 
граммный продукт МІСШ 80 Й Ассе88 пользователь 
может найти пути обхода защитных барьеров до- 
ступа к информационным ресурсам и базе данных. 
Но, в последнем случае, он получает доступ только 
к фрагментам дубликата, а не к основным ресур- 
сам. Принципиально возможны и другие логиче- 
ские правила установления барьеров доступа. На- 
пример, усложнение порядка идентификации 
признаков, отражающих подлинность пользовате- 
ля, на предоставление ему права доступа даже к ду- 
бликату или к системе с удаленного терминала. 

Еще одной мерой защиты является учет того 
фактора, что включение высокопрофессиональных 
специалистов в процесс использования высоких 
технологий неизбежно требует установления соот- 
ветствующих этому фактору и мер контроля. 
Необходима также и оценка «прозрачности» по- 
рядка соблюдения установленных законодатель- 
ством или инструктивными материалами, правил и 
требований при использовании разрешенных дан- 
ному пользователю тех фрагментов информации, 
которые в той или иной мере затрагивают сферу бе- 
зопасности компании, организации, государства 
или личных и других прав граждан. Возможны и 
другие, основанные на идентификации личности, 
принципы ранжирования приоритетов доступа и 
оценки необходимого уровня информационной 
безопасности доступа данному пользователю к ин- 
формационным ресурсам. 


7. Заключение 

Проводя анализ и обобщение выше изложенно- 
го, можно придти к следующим заключениям: 

1. Разработка мер, программных и аппаратных 
средств противодействия попыткам несанкцио- 
нированного доступа к компьютерной инфор- 
мации должна быть тесно увязана с изучением 
методов, подходов к решению и принципов вы- 
соких технологий осуществления на практике 
таких попыток. Анализ существующих «прак- 
тик» неправомерного проникновения к ком- 
пьютерной информации важен для понимания 
сущности и формирования в последующем ре- 
шений проблемы, которые смогут предотвра- 
тить проведение таких действий в принципе. 
Предпочтительнее предотвратить их еще на ста- 
дии планирования и подготовки возможности 
осуществления такой попытки, т. е. важно по- 
казать неосуществимость проведения неправо- 
мерных действий в плане достижения цели про- 
никновения. В рамках массового обследования, 
по вполне понятным причинам, обусловленных 
определенной мотивацией таких «пользовате- 
лей» и закрытостью подобной информации, 
анализ и исследование подобных «практик» 
провести затруднительно, скорее невозможно. 

2. Разработка мер предотвращения неправомер- 
ного доступа к компьютерной информации на 
основе обобщения и анализа, имевших место на 
практике, реально рассмотренных или подле- 
жащих предметному и обстоятельному изуче- 
нию, разных аспектов путей подхода и мотива- 
ции осуществления деятельности по неправо- 
мерному, в том числе удаленному, доступу к 
компьютерной информации является актуаль- 
ной. Следует признать, что принятие и выра- 
ботка прогнозных решений на основе анализа 
рассмотренных реальных «практик» неправо- 
мерного проникновения к компьютерной ин- 
формации, а также их обобщение крайне за- 
труднены. Действительно, в таких случаях ис- 
следователь имеет «дело» с многоальтернатив- 
ной мотивацией особого рода «пользователя». 
Получаемый при этом, фактический материал 
для исследования представляет собой выборку 
малой размерности с признаками, которые ха- 
рактерны для юридической, социологической, 
психологической и правовой практик. 

3. В рассматриваемой предметной области важно 
исследовать мотивационные аспекты и техно- 
логические пути осуществления подобного ро- 
да «практик». Необходимо изучить закономер- 
ности статистики явления. Другими словами, 
выявить все возможные направления подобной 
деятельности; определить, как и каким образом 
возникают и устанавливаются несанкциониро- 
ванные компьютерные связи; исследовать фак- 
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ты любого неправомерного доступа; оценить, 
что способствует, а что может препятствовать 
неправомерному доступу, включая доступ с уда- 
ленных ЭВМ. 

Выводы 

В настоящей работе проведен, хотя и ограни- 
ченный, анализ методов и способов, реально осу- 
ществленных, высокотехнологичных противоправ- 
ных, по действующему законодательству РФ, дей- 
ствий путем несанкционированного доступа к ком- 
пьютерной информации с удаленных терминалов. 

Проанализированы особенности следов престу- 
плений, связанных с применением нарушителями 
высокотехнологичных способов неправомерного 
доступа к компьютерной информации, и предло- 
жены способы выявления этих следов. Результаты 
исследования, проведенного в настоящей работе, 
свидетельствуют о том, что, в свете усиливающего- 
ся противодействия следствию от современной 
криминалистики требуется дальнейшее изучение 
закономерностей и механизмов подготовки, совер- 
шения и сокрытия рассматриваемого вида престу- 
плений. 

На наш взгляд, только всестороннее изучение 
всех аспектов имеющейся проблемы даст возмож- 
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